Saisie stratégique de sites Web malveillants par Microsoft
Dans une démarche décisive pour lutter contre la cybercriminalité, Microsoft a récemment orchestré la saisie de 240 sites Web liés à l'opération de phishing-as-a-service ONXX. Cette action représente une perturbation significative d'une infrastructure de cybercriminalité omniprésente visant particulièrement des secteurs critiques tels que les services financiers. Cette action souligne l'engagement de Microsoft en matière de cybersécurité et sa position proactive dans la protection des espaces numériques.
Perturbation ordonnée par le tribunal
La saisie a été facilitée par une décision d'un tribunal civil du district Est de Virginie, autorisant la réaffectation de l'infrastructure malveillante à Microsoft. Cette manœuvre juridique souligne la coopération entre les entités juridiques et les entreprises technologiques dans la lutte contre les cybermenaces et montre comment les outils judiciaires peuvent être utilisés pour réprimer les activités criminelles sur Internet.
Abanoub Nady, également connu en ligne sous le nom de « MRxC0DER », a été identifié comme l’architecte de ces kits de phishing. Opérant depuis l’Égypte, Nady a développé et vendu ces outils malveillants sous une fausse identité de marque, en utilisant le nom « ONNX ». Il s’agissait d’une utilisation délibérée de la marque légitime associée à un format standard ouvert pour les modèles d’apprentissage automatique.
Mécanismes et marketing de l'arnaque
L'opération ONXX a ciblé en priorité le secteur des services financiers en raison de la gestion de données sensibles et de transactions importantes. En utilisant des techniques de phishing de type « adversaire du milieu » (AiTM), les kits ont permis aux attaquants de contourner les défenses d'authentification multifacteur (MFA) en volant des informations d'identification critiques et des cookies de session.
Cybercriminalité par abonnement
Le service de phishing ONXX a étonnamment imité des modèles commerciaux légitimes via un service d’abonnement. Proposant des niveaux allant de la version Basic à la version Enterprise, l’opération comprenait une fonction « Assistance VIP illimitée » pour les utilisateurs professionnels, indiquant un niveau d’organisation et d’orientation client plus communément associé aux entreprises légales. Ce modèle d’abonnement ajoutait un vernis de légitimité et attirait les cybercriminels en herbe cherchant à maximiser leurs capacités néfastes.
La promotion et la vente des kits de phishing ONXX ont été réalisées via des vitrines de marque, exploitant encore davantage le nom ONNX. Les canaux de vente impliquaient principalement Telegram, illustrant comment les plateformes de communication cryptées peuvent être utilisées à mauvais escient pour faciliter et dissimuler des activités illégales. Le déploiement de ces stratégies marketing avait été suivi par Microsoft dès 2017, révélant un engagement à long terme dans des escroqueries par phishing malgré des identifications antérieures sous des noms tels que « Caffeine » et « FUHRER ».
L’impact plus large et les défis actuels
Si l’action de Microsoft porte sans aucun doute un coup dur aux opérations de MRxC0DER, elle met également en évidence un défi persistant en matière de cybersécurité. Le vide numérique laissé par la perturbation d’ONXX pourrait bientôt être comblé par d’autres fournisseurs malveillants, car les acteurs de la menace sont notoirement adaptables. Ce scénario indique la nécessité d’une vigilance continue, d’une collaboration entre les secteurs et d’innovation dans la lutte contre la cybercriminalité.
Les efforts de Microsoft, qui ont permis de démanteler cette opération, fournissent des enseignements et des stratégies précieuses aux autres entités qui cherchent à protéger leur environnement numérique. À mesure que les cybermenaces évoluent, les approches des personnes chargées de la défense doivent évoluer, afin de s'assurer qu'aucune activité malveillante ne reste sans contrôle ou sans contestation dans la bataille en cours pour la cybersécurité.